JavaBeansに対するリフレクションとClassLoader脆弱性 - ひがやすを技術ブログ
今回の問題は、(SA)Strutsだけの問題ではなく、いろんなフレームワークでもちゃんと調べた方が良い話しなので、もう少し詳しく書いておきます。 Javaで、JavaBeansのプロパティにアクセスする場合、 PropertyDescriptor[] descriptors = Introspector.getBeanInfo(クラス).getPropertyDescriptors();で取得できるPropertyDescriptorを使うことがほとんどです。この中に、classプロパティは含まれます。 ここまでは良くて、ネストしたリクエストパラメータ(class.classLoader.xxxなど)をJavaBeansにセットする時に、BeanInfo.getPropertyDescriptors()で取得したものをそのまま使うのが問題なのです。 Seasar2(BeanDesc)では、
TOEICとTOEFL、英ビザ申請に使えず 今月から:朝日新聞デジタル
英語力の証明に使われる国際的な検定試験「TOEIC(トーイック)」と「TOEFL(トーフル)」が、今月から英国ビザの申請に使えなくなったことが分かった。英国での試験で不正が発覚したため。TOEICの日本事務局は、英国渡航目的の受験者に受験料を返金する方針だ。 留学支援業者によると、ビザを取得して英国の大学や大学院に留学する日本人は推定で年2千人。このほか、就労や移住を計画する人にも影響が出ている。 きっかけは、2月の英BBCの報道。ロンドンであったTOEIC試験で、替え玉受験や試験監督が解答を読み上げる不正が行われていたと報じた。 TOEICとTOEFLを運営する米国の非営利団体ETSは、英国で「下請け業者による違法行為」を確認し、英内務省と結んでいた、英語力証明に使うための契約を更新しないと今月17日に発表した。TOEFLも同じ契約に含まれており、ビザ申請には使えなくなった。同省も「英語
サイト構築ソフトに欠陥 官公庁などサイバー攻撃の恐れ - 日本経済新聞
ウェブサイトを作成するために官公庁や銀行、企業などが広く利用しているソフト「ストラッツ1」にセキュリティー上の欠陥(脆弱性)があることが24日分かった。個人情報や機密情報を盗まれたりサイトが改ざんされたりするサイバー攻撃の恐れがある。同ソフトはサポートが終了しており、現在のところ修正プログラム(パッチ)は無い。すでに攻撃方法がインターネット上で公開されており、早急に対応が必要だ。ストラッツ1は
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
